Además de las Normas generales aplicables a todos los servicios y recursos de la US los usuarios deben conocer las normas relativas a las copias de seguridad.
Se realizarán copias de respaldo que permitan recuperar datos perdidos accidental o intencionadamente con una antigüedad determinada. Las copias de respaldo disfrutarán de la misma seguridad que los datos originales en lo que se refiere a integridad, confidencialidad, autenticidad y trazabilidad. En particular, se considerará la conveniencia o necesidad de que las copias de seguridad estén cifradas para garantizar la confidencialidad.
Las copias de respaldo deberán abarcar:
- Información de trabajo de la organización.
- Aplicaciones en explotación, incluyendo los sistemas operativos.
- Datos de configuración, servicios, aplicaciones, equipos, u otros de naturaleza análoga.
- Claves utilizadas para preservar la confidencialidad de la información.
1. Copias de respaldo de los SI y recuperación
Para garantizar la continuidad de los servicios, todos los datos almacenados en los servidores y dispositivos de almacenamiento de los SI corporativos que gestiona la US se deben copiar de manera regular. De esta forma, se establecen los mecanismos necesarios para garantizar la continuidad de los servicios en caso de pérdida de datos.
- Todos los datos del ámbito de aplicación del Esquema Nacional de Seguridad (en adelante ENS) en la US serán periódicamente respaldados en soportes de backup.
- Los Responsables correspondientes de la Información y los Servicios, asesorados por el Responsable del Sistema y el Responsable de Seguridad de la Información, establecerán los ciclos de copia más adecuados para cada tipo de información.
- Las copias de respaldo deben abarcar todos los datos necesarios para recuperar el servicio en caso de corrupción o pérdida de datos.
- Las copias de seguridad estarán guardadas en un lugar seguro con medidas de seguridad físicas, de forma que solo el personal autorizado tenga acceso. Deben estar identificadas y etiquetadas con la información útil que se considere necesaria.
- Siempre debe existir una copia adicional almacenada en un armario ignífugo o procedimiento alternativo como medida de recuperación ante desastres y, dependiendo del nivel de seguridad de la información y los servicios prestados, se debe mantener un segundo juego de copias offsite, en otro edificio y en armario ignífugo.
- El traslado de los volúmenes de las copias se debe realizar conforme a la Normativa de intercambio de información y uso de soportes.
- Se debe definir un procedimiento de recuperación de las copias de seguridad, de forma que incluya las pautas para los diferentes sistemas operativos.
- Cuando la información que manejan los SI contenga datos de carácter personal se aplicarán, además, las normas establecidas en la Política de Protección de Datos de la US.
- Cada SI dispondrá de un procedimiento de copias de respaldo que incluirá, al menos, estos elementos:
- Nivel de seguridad de la información.
- Periodicidad de las copias de respaldo acorde al tipo de dato o servicio.
- Ventana de backup más adecuada.
- Periodos de retención de las copias.
- Ubicación de los soportes de respaldo.
- Procedimientos de recuperación de la información.
- Procedimientos de restauración de los servicios y verificación de la integridad de la información respaldada.
- Procedimientos de inventario y gestión de soportes para backup.
- Procedimiento de revisión de logs de copias de seguridad.
2. Copia de respaldo de los equipos de usuario
Los usuarios son responsables de la realización de copias de respaldo periódicas de la información de sus puestos de trabajo, especialmente cuando haya cambios significativos en la información que manejan.
- En ningún caso se deberán almacenar copias de respaldo en dependencias de terceros ajenas a la US si no existe un acuerdo institucional previamente suscrito con el tercero en el que se expliciten las cautelas debidas respecto de la custodia de la información almacenada.
- Si el usuario trata información corporativa en su puesto de trabajo, los responsables de las unidades administrativas de la US deberán asegurarse de que los empleados a su cargo salvaguardan dicha información de forma satisfactoria dentro de las dependencias de la US de acuerdo con los recursos disponibles.
- En caso de uso de ordenadores portátiles corporativos, el usuario se atendrá a la “Normativa de uso de portátiles corporativos de la Universidad de Sevilla”.
2.1. Tipos de copias de respaldo
En función del tipo de información, como parte de la estrategia de copias de seguridad, se podrán utilizar los siguientes tipos de copias de respaldo:
- Copia completa o FULL: copia completa de todos los datos principales, ficheros y bases de datos.
- Requiere mayor espacio de almacenamiento y ventana de backup.
- Ofrece la seguridad de tener una imagen de los datos en el momento de la copia.
- Copia incremental: copia de los datos modificados desde la anterior copia completa o incremental.
- Siempre se debe partir de una copia total o completa inicial.
- Si se realiza con frecuencia, el proceso no consumirá un tiempo excesivo, debido al bajo volumen de datos a copiar.
- La restauración completa es lenta: se requiere recuperar una copia completa y todas las incrementales realizadas hasta el momento en el cual se quiera restaurar el sistema.
- Copia diferencial: copia de los datos que hayan sido modificados respecto a una copia completa anterior.
- Requiere menor espacio de almacenamiento y ventana de backup.
- Se ejecutará con mayor rapidez en función de la frecuencia con que se realice.
- La restauración suele ser más rápida que la incremental, ya que basta con recuperar una copia completa y una copia diferencial.
2.2. Verificación y comprobación de las copias
Se deben comprobar los registros de logs de las copias de seguridad de forma que, ante una incidencia, sea posible relanzar de nuevo la copia de seguridad.
Los responsables de los SI deben realizar pruebas periódicas de restauración de las copias realizadas, de forma que se garantice la integridad de estas. La información del ámbito de aplicación del ENS, almacenada en un medio informático durante un período prolongado de tiempo, deberá ser verificada al menos una vez al año, para asegurar que la información es recuperable.
2.3. Retención de las copias
Los documentos originales y los ficheros en formato electrónico deben ser retenidos durante el tiempo que en cada caso el ordenamiento jurídico prescriba. Los Responsables de la Información y los Servicios, asesorados por el Responsable de Seguridad y el Gabinete Jurídico, en su caso, se encargará de definir los periodos de retención de la información en función de la naturaleza de la misma y del ordenamiento jurídico vigente en cada momento.
- El procedimiento de copias de respaldo de cada SI definirá el periodo de retención de las copias que se realizan.
- Hay que tener en cuenta los requerimientos de retención de datos en cada SI de cara a la realización de acciones administrativas, disciplinarias, civiles o penales (por ejemplo, logs para auditorías). Se implantarán los medios necesarios para poder revisar las actividades de los usuarios que manejan este tipo de información.
- Cuando la información deje de ser necesaria, deberá ser destruida o eliminada de manera segura. Los soportes de información que se desechen serán eliminados conforme a la Normativa de intercambio de información y uso de soportes.
Acceso a la normativa vigente completa
Normativa de copias de seguridad de la Universidad de Sevilla.